黑客组织“海莲花”专门攻击中国的海事机构等网站以获得机密(2)

时间:2015-05-31 12:45:39 来源:澎湃新闻

    京津两地感染人数最多

    “海莲花”组织在攻击中还配合了多种“社会工程学”的手段,以求加大攻击效果。比如,在进行“鱼叉攻击”时,黑客会主要选择周一和周五,因为这两个时间人们与外界的沟通比较密切,是在网络上传递信息的高峰期。而“水坑攻击”的时间则一般选在周一和周二的时间,因为这个时候一般是单位发布通知、要求职工登录内网的时候。

    目前已经捕获的与“海莲花”相关的第一个特种木马程序出现在2012年4月,当时,首次发现第一波针对海运港口交通行业的“水坑”攻击,海莲花组织的渗透攻击就此开始。不过,在此后的2年内,“海莲花”的攻击并不活跃。直到2014年2月,海莲花开始对中国国内目标发送定向的“鱼叉”攻击,海莲花进入活跃期,并在此后的14个月中对我国多个目标发动了不间断的持续攻击。2014年5月,海莲花对国内某权威海洋研究机构发动大规模鱼叉攻击,并形成了过去14个月中鱼叉攻击的 峰。

    “天眼”实验室表示,其已捕获与海莲花组织有关的4种不同形态的特种木马程序样本100余个,感染者遍布中国29个省级行政区和境外的36个国家。其中,中国的感染者占全球92.3%,而在境内感染者中,北京地区最多,占22.7%,天津次之,为15.5%。为了隐蔽行踪,海莲花组织还先后在至少6个国家注册了服务器域名35个,相关服务器IP地址19个,分布在全球13个以上的不同国家。

    大数据技术揭开“海莲花”面纱

    “天眼”实验室向记者介绍,事实上,“海莲花”的攻击早已被他们捕捉到,但之前只是零散的发现,直到去年起,360成立“天眼”实验室,利用大数据技术进行未知威胁检测,才首次发现了这些散见威胁之间的联系,一个 黑客攻击行为的轮廓才逐渐清晰。

    虽然发现了海莲花的攻击轨迹,但如何确定这不是一起普通的商业黑客行为,而是由某个敌对国家支持的呢?面对记者的这一疑问,“天眼”实验室表示,首先,这种有组织、有计划的长期攻击行为需要很高的投入,不是一般商业公司能够负担的;其次,“海莲花”觊觎的资料对商业机构没有什么价值。“综合来看,海莲花组织的攻击周期之长(持续3年以上)、攻击目标之明确、攻击技术之复杂、社工手段之精准,都说明该组织绝非一般的民间黑客组织,而是具有国外政府支持的、高度组织化、专业化的 黑客组织。”

投稿:chuanbeiol@163.com
点击展开全文

你遇到过鬼打墙吗,科学家给出了合理的解释!